Технический взгляд на отключение интернета в Иране

191
Технический взгляд на отключение интернета в Иране
Технический взгляд на отключение интернета в Иране

Каждый раз, когда в Иране вспыхивают массовые протесты, происходит знакомый сценарий: поток информации прекращается. Интернет замедляется до минимума или исчезает вовсе.

Системный администратор

Но как современная страна может существовать, полностью отрезав себя от интернета? Разве это не нарушит всю систему?

Не совсем. Потому что Исламская Республика на протяжении последнего десятилетия строила интернет внутри интернета.

Национальная информационная сеть (NIN): изоляция по проекту

Национальная информационная сеть Ирана (NIN) — это управляемый государством интранет, разработанный для того, чтобы внутренние сервисы продолжали работать даже при отключении от глобального интернета. Представьте себе песочницу: сайты, банковские порталы, мессенджеры и электронные госуслуги, работающие исключительно внутри границ Ирана.

Эта система выполняет две основные функции:

  1. Позволяет выборочные блокировки — государство может заблокировать международные платформы (WhatsApp, Instagram, новостные сайты), оставляя при этом локальные сервисы (госСМИ, банковские приложения) полностью доступными.
  2. Принуждает провайдеров маршрутизировать трафик через государственные шлюзы, что упрощает мониторинг, фильтрацию и возможность отключения частей сети по требованию.

Дополнительно над этой системой построен IRGFW — Иранский Великий файервол, по образцу китайского, но с более жестким контролем и централизацией. Он фильтрует, блокирует и отслеживает трафик по всей стране. На бумаге — крепкая, непроницаемая система.

Но у любой стены есть щели. Всегда.

Что можно сделать в такой ситуации?

Иранская блокада интернета агрессивна, но не идеальна. Как и любая масштабная фильтрация, она опирается на устаревающие метаданные и статические списки блокировки. Именно здесь появляются лазейки.

Известная уязвимость: IP-адреса арендуются, а не принадлежат навсегда

IPv4-адресов ограниченное количество, и они постоянно перераспределяются. Чаще всего они арендуются, перепродаются между хостинг-провайдерами и дата-центрами или мигрируют по регионам. Иранская система фильтрации использует GeoIP-базы и BGP-данные для определения, какие диапазоны IP-доверенные, а какие — нет. Но эти данные отстают от реальности.

IP, который раньше принадлежал иранскому провайдеру, может сейчас быть в Амстердаме, но если IRGFW не обновит фильтры (а это происходит не в реальном времени), этот IP может остаться доступным.

Это открывает небольшое, но реальное окно возможностей: сканирование IP-пространства в поисках доступных прокси, VPN или ретрансляторов, не попавших в черные списки.

Да, это в основном брутфорс. Но когда все остальное отключено, один работающий IP может стать туннелем во внешний мир.

Pingtunnel: медленно, но лучше чем ничего

Чтобы предотвратить обход фильтрации, IRGFW блокирует большинство исходящих протоколов. Но один протокол они полностью не заблокировали — ICMP, который используется для ping.

ICMP-пакеты применяются для диагностики (например, проверки, доступен ли сервер). Их полная блокировка нарушила бы множество легитимных сервисов. Поэтому они разрешены даже при строгих ограничениях.

Pingtunnel позволяет передавать данные внутри ICMP-пакетов, то есть фактически туннелировать TCP-трафик через поток ping’ов. Это очень медленно и чувствительно к потере пакетов. Но это работает — особенно для текстовой связи, командного доступа или отправки небольших файлов.

Это незащищено от DPI или таймингового анализа. Но в условиях полного отключения “медленно, но работает” — лучше, чем ничего. Даже сессия в терминале или простой мессенджер — это уже линия связи с внешним миром.

Starlink за NAT: иранцы обходят цензуру, несмотря на уголовное преследование

Несмотря на жесткий запрет на использование Starlink в Иране, многие иранцы находят способы его заполучить. Они делятся соединением, используя локальные роутеры с NAT и шифрованные туннели вроде WireGuard.

Что значит “за NAT”?

Starlink обеспечивает интернет напрямую через спутник, в обход инфраструктуры иранских провайдеров. Но поскольку терминалы Starlink получают динамические IP (часто из частных диапазонов) и действуют вне традиционных схем IP-адресации, они находятся за NAT.

Пример:

  • Терминал Starlink подключается к спутниковой сети и получает IP от глобальной сети Starlink.
  • Устройства пользователя в Иране подключены к сети местного провайдера.
  • Пользователь настраивает локальный маршрутизатор, который перенаправляет трафик с локальной сети через Starlink.

Как это обходит цензуру?

Государство не может эффективно блокировать трафик Starlink, не конфисковав физически оборудование — потому что трафик идет напрямую к спутникам и зашифрован.

Чтобы делиться соединением, пользователи настраивают WireGuard VPN:

  • Сервер WireGuard работает на локальном роутере, подключённом и к иранскому провайдеру (WAN), и к Starlink (LAN).
  • Друзья и семья подключаются к этому серверу, и весь их трафик перенаправляется через Starlink.

Туннель защищён, а NAT скрывает реальную структуру IP, делая трафик неотличимым от обычного зашифрованного.

Преимущества

  • Спутниковый трафик зашифрован и недоступен для перехвата без физического вмешательства.
  • WireGuard использует минимальные заголовки и UDP, затрудняя DPI-анализ.
  • NAT скрывает адреса, делая фильтрацию почти невозможной.
  • Один терминал можно использовать на нескольких пользователей.

Как выжить внутри NIN?

Иногда NIN работает, но соединение с внешним миром полностью обрезано. Даже связь внутри страны становится трудной.

SMS?

Открытый текст, перехватывается и анализируется государством. Медленно, дорого, ненадёжно.

Звонки?

Только через GSM, полностью под контролем. Перехваты, прослушка — всё возможно.

Использование локальной сети: хостинг зашифрованных сервисов

Но NIN всё же позволяет локальный трафик. Значит, вы можете развернуть свои собственные сервисы связи внутри Ирана.

Один из вариантов — Matrix Synapse, сервер для защищённых сообщений и звонков.

Почему Matrix?

  • Протокол с поддержкой сквозного шифрования, голосовой и видеосвязи.
  • Децентрализован, можно развернуть свой сервер.
  • Если сервер внутри Ирана, его видят пользователи, идущие по внутренней сети, без внешнего интернета.

Что нужно?

  • VPS у иранского провайдера (внутри NIN).
  • Домен, работающий внутри иранской DNS.
  • Установка и настройка Matrix Synapse на этом сервере.

В чём польза?

  • Трафик не выходит за пределы страны — сложнее блокировать.
  • Сильное шифрование защищает от анализа содержимого.
  • Можно сохранить связь даже в условиях полной изоляции.

Заключение

Выживание внутри NIN требует адаптации и использования слабых мест системы. Самостоятельный запуск локального зашифрованного сервиса — реальный способ остаться на связи, когда остальной мир недоступен.

Это не идеально, есть риски, и нужна техническая грамотность. Но в условиях изоляции — это критически важная линия связи.

ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА